[分享] 強化零信任知識與專業能力

在台灣，隨著金管會在2022年12月發布「金融資安行動方案 2.0」，並且持續推動零信任架構（Zero Trust Architecture, ZTA），對於金融行業來說，針對高風險的作業活動，建立安全有效的資源存取和保護機制，已經是不可或缺的工作之一，如果您想要強化有關零信任的專業知識與能力，本篇文章提供了相關學習的資源與參考資料。

零信任（Zero Trust）這個名詞出現在2010年，由任職於知名研究調查機構 Forrester 的 John Kindervag 所提出，他認為所有的網路流量都是不可信任的，必須在每個步驟中針對資料或資源的存取需求進行驗證，而它的精神也就是最廣為人知的一句話：「永不信任，始終驗證 (Never trust, always verify)」。

隨著零信任技術發展的不斷演進，加上行動科技和雲端運算的運用也愈來愈普及，在2013年雲端安全聯盟（CSA）提出了軟體定義邊界（Software-Defined Perimeter, SDP）的概念，藉由建立一個無形邊界的安全架構，呼應了零信任精神來保護組織的關鍵資產與資源。在2020年，美國國家標準與技術研究院（NIST）亦發布了「NIST SP 800-207 Zero Trust Architecture」，正式建立了構成零信任架構的核心元件，也成為了聯邦機構或任何組織，想要強化網路安全的重要參考資訊。

依據 NIST 的定義，零信任不是指單一架構，而是一組整合工作流程、系統設計和運作的指導原則，可用來強化各種不同類型或敏感等級資料的安全現況。CSA 則強調了在實施零信任架構時，每個防護面專案需要執行的五個關鍵步驟：定義保護層面、對映資料傳輸流程、建構零信任架構、建立零信任政策，以及持續監控和維護，這些步驟提供了一種結構化的方法來增強網路安全，並確保組織能夠將現有的安全做法成功轉換到零信任模式。

如何強化零信任知識和能力

對於資訊或資安人員來說，若想要強化有關零信任的專業知識與能力，個人有以下兩個「不用花錢」的方法分享給大家，如果在閱讀了文件之後，對於零信任的規劃和實施有一些學習心得，還可以進一步選擇「花錢」參加考試來取得能力證書，這個資訊也一併提供給大家參考。

1. 免費下載兩份零信任的重要參考指南

「NIST SP 800-207 Zero Trust Architecture」- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

「CSA Software-Defined Perimeter (SDP) Specification v2.0」 - https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2

2. 下載「CCZT Prep Kit」(需注冊CSA會員-免費)，裡面提供了通過 CCZT 考試所需研讀的教材，以及其他和零信任有關的補充知識文件。

https://cloudsecurityalliance.org/artifacts/cczt-prep-kit

關於零信任能力證書 (CCZT)

零信任能力證書 (Certificate of Competence in Zero Trust, CCZT) 是由雲端安全聯盟 (CSA) 在2023年11月所推出的個人能力證明，如果學習了以上的零信任知識，想進一步取得專業能力的證明，可以藉由參加線上考試來獲得證書，以下相關資訊彙整自 CSA 官網的說明。

考試的七大知識領域

1. Zero Trust and Zero Trust Architecture general concepts and definitions (零信任和零信任架構的一般概念和定義)

2. Zero Trust goals, objectives, and benefits (零信任的目標、目的與優勢)

3. Zero Trust Architecture logical model and key components (零信任架構的邏輯模型與關鍵元件)

4. Software Defined Perimeter (軟體定義邊界)

5. Zero Trust Strategy (零信任策略)

6. Zero Trust Planning (零信任規劃)

7. Zero Trust Implementation (零信任實施)

研讀考試的教材

在 CSA 提供的「CCZT Prep Kit」中，包括了以下相關參考資料:

• 5 Study Guides (*5 份學習指南 - 涵蓋七大知識領域，這是通過考試的必讀文件!)

• Knowledge Guide (知識指南 - 針對考試的說明介紹)

• CCZT Curriculum (課程大綱)

• Recommended Readings (推薦閱讀材料 - 有空再看)

• Authoritative Sources (官方資源)

• Mapping ZTA Components to SDP (NIST零信任架構和CSA SDP的對照說明)

• FAQ (考試常見問題)

• Infographic - How to Earn your CCZT (說明如何取得 CCZT 認證)

• 50 Sample Questions (*50 題範例題 - 考前必讀!)

• Overview Presentation (考試說明簡報)

考試方式和費用

CCZT 考試為開卷 (open book) 的線上考試 (使用自己的電腦，時間可自由選擇進行)，考試過程包含了60道選擇題 (單選)，考試時間為120分鐘，最低及格分數為80%。考試的費用為175美元，包含了兩次考試機會，有效期限為兩年。

最後，在完成考題作答並送出之後，即可馬上得知是否順利通過，考試通過之後即可獲得一份電子證書和以下的個人標章 (證明錢沒有白花~~)。

Certificate of Competence in Zero Trust (CCZT) for Jack Hua

[分享] 新版ISO 27701之改變和轉版規劃

新版ISO 27701標準已於2025-10-14發布，正式成為可獨立實施和驗證的隱私資訊管理系統標準，新版標準採用了調和結構 (Harmonized Structure)，包括建立管理體系的本文4~10章，內容架構採用相同標題和文字，方便組織和其他標準進行整合。

在新版標準的附錄A，則針對「PII控制者 (A.1)」和「PII處理者 (A.2)」兩個角色，說明它的控制目標和控制措施。另外，也新增了兩個角色在資安方面需考量的控制措施 (A.3)，並且在附錄B提供了控制措施實作的參考指引，以下列舉新版標準主要的調整和變動。

管理體系的調整

- 原本文5.2~5.8調整為4~10，建立完整的高階管理架構，讓組織更容易和其他標準對齊。

- 原本文6~8調整為新版的附錄B實作指引。

- 原舊版中的附錄A和B，在新版中調整為A.1和A.2，並新增A.3 資安控制措施 (A.3.3~A.3.31)。

控制措施的調整

- 原附錄A.7.2~A.7.5針對「PII控制者」的控制措施，新版調整為附錄A.1.2~A.1.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私及預設保護隱私，以及PII 共享、傳輸及揭露，一共有31個控制措施。

- 原附錄B.8.2~B.8.5針對「PII處理者」的控制措施，新版調整為附錄A.2.2~A.2.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私，以及預設保護隱私及PII 共享、傳輸及揭露，一共有18個控制措施。

- 取消原條款6 ISO 27002 資安控制措施指引，新增附錄A.3「PII控制者和PII處理者的安全事項」，挑選了包括A.3.3~A.3.31共29個資訊安全控制措施，同時也提供了附錄B.3 「PII控制者和PII處理者的實作指引」作為參考。

轉版規劃與準備

目前各家驗證公司還沒有發布轉版的時程 (個人預估最晚在2026 Q3)，但對於已持有舊版證書，準備要進行轉版的組織而言，可以先透過以下步驟進行規劃與準備：

1. 進行差異分析：可對照舊版和新版的要求事項，評估目前的差異，包括本文新增的條款6.3變更之規劃、條款6.1.3要求建立資訊安全計畫 (information security programme)，以及附錄A.3的29個資安控制措施。

2. 制訂轉版計畫：包括資源的準備，轉版工作的職責分配，本文4~10章管理體系各項流程實施完成時間的安排。

3. 實施新版要求：修訂管理制度文件，實作隱私控制措施，包括隱私風險評鑑和隱私風險處理、更新適用性聲明 (對應新版條款) 及隱私目標規劃與量測等，並且完成內部稽核和管理審查。

4. 申請轉版驗證：跟驗證公司確認轉版稽核時間，安排受稽人員和場地設施，以便順利取得新版證書。

[分享] ISC2 人工智慧策略建構證書

長久以來，ISC2 的 CISSP 證照一直是資安相關人員學習和追求的目標，隨著人工智慧的應用愈來愈受到重視，雖然 ISC2 目前還沒有針對AI推出個人證照，但為了強化資安相關人員對於AI的專業知識，因此在今年推出了「人工智慧策略建構證書 (Building AI Strategy Certificate)」，藉由線上完成與AI有關的課程，協助資安相關人員獲得為組織建立AI的管理基礎知識，以及了解合乎道德與安全考量的人工智慧應用方式。

課程簡介

人工智慧策略建構證書一共包括了以下六門課程主題，參與學習的夥伴們，在完成每堂課程之後，只要在課程評估測驗中，答對70%的考題 (選擇題)，就可以取得單堂課程的證書。若是完成全部的六門課程和評估測驗，即可獲得「建立人工智慧策略證書」的 Credly 數位徽章。

課程主題：

• 人工智慧在網路安全中的應用 (AI for Cybersecurity): 了解人工智慧在網路安全中的作用，以及傳統安全方法和人工智慧專用安全方法對安全風險的影響。
• 人工智慧安全 (AI Security): 探索在保持關鍵的人工監督的同時，可優化 AI 驅動的安全議題，以管理過度自信的情況。
• 與全球人工智慧法規保持一致 (Aligning with Global AI Regulations): 了解將人工智慧安全框架與整體網路安全原則保持一致的複雜性，比較與人工智慧相關的特定安全框架和標準以及支撐安全人工智慧實踐的原則。
• 人工智慧的基礎 (Foundations of AI): 學習人工智慧安全基礎知識，藉由熟悉人工智慧的相關定義，以了解人工智慧應用和實施所帶來的影響。
• 規劃具有安全設計的人工智慧 (Planning for Secure by Design AI): 如何從策略角度將安全性融入人工智慧的營運之中，了解安全的人工智慧的實施要求，以及如何將傳統網路安全原則與人工智慧治理框架進行整合。
• 不斷發展的網路安全人才隊伍 (The Evolving Cybersecurity Workforce): 透過探討人工智慧對網路安全人才隊伍的影響，並分析有關領導力的考量與策略。

授課方式：

• 方式：線上隨選學習，可獲得 CPE 16 學分 (16 小時)
• 語言：英語
• 教材：文字、影片、案例說明
• 費用：640美元 (ISC2會員可打8折為512美元)

以上是和課程有關的資訊 (內容說明來自 ISC2網頁)，提供給有興趣的夥伴參考，就我個人參與的經驗，內容沒有太過技術的內容，適合初階或想了解AI管理架構的夥伴來進修學習。

[分享] 通過 Trusted AI Safety Expert (TAISE) 考試

隨著人工智慧的議題持續在全球發燒，雲端安全聯盟 (CSA) 在2025年10月底也正式推出了「可信賴人工智慧安全專家 (Trusted AI Safety Expert, TAISE)」的認證計畫，這是雲端安全聯盟與美國東北大學 (Northeastern University) 共同合作所推出的一個針對人工智慧安全的訓練與認證，可以幫助對人工智慧有興趣的人員，藉由參與完整的培訓課程，獲得跟人工智慧有關的專業知識。

課程內容

TAISE的課程，目前是採取線上自主學習的方式，內容包括了以下10個單元模組，並且提供了免費下載的「TAISE Prep Kit」，讓有意想取得這個認證的人員，可以清楚的掌握課程的架構與學習方向。

Module 1: Introduction to AI (人工智慧導論)

Module 2: Generative AI Architecture and Design (生成式人工智慧架構與設計)

Module 3: AI Use Cases: GenAI, Multimodal, and AI Agents (人工智慧應用案例：GenAI、多模態和人工智慧代理)

Module 4: Fairness, Accountability, and Explainability in AI (公平性、問責和可解釋性)

Module 5: AI Model Lifecycle and Threat Taxonomy (人工智慧模型生命週期與威脅分類)

Module 6: Model Governance, Risk Management, and Compliance (模型治理、風險管理與合規性)

Module 7: Introduction to AI Safety and Security (人工智慧安全導論)

Module 8: Cloud and AI Security (雲端和人工智慧安全)

Module 9: Data Security & Privacy in AI Systems (人工智慧系統中的資料安全與隱私)

Module 10: Continuous Learning and Adaptation (持續學習與適應)

就我個人的上課體驗，覺得課程內容相當扎實，可能是與學校合作的關係，教材的品質非常好，搭配適當的影片解說和補充的參考資料，可以對人工智慧的發展歷史、機器學習的技術、人工智慧模型生命週期、人工智慧的安保與安全，以及模型治理和法規，能夠獲得全盤的了解。

但對初學者而言，由於內容橫跨了包括人文、心理、數學、資訊及法律學科，資訊量有點大，可能需要一點時間消化和吸收，未來若CSA有提供真人線上和線下進行的課程，可能會更有助於討論和學習。

關於考試

TAISE考試同樣秉持著CSA以往為了確保過程嚴謹又容易參加的精神，採取了以下的方式進行 (參考自CSA官網) ，只是這次比較特別的是課程與考試費用綁在一起，也就是必須同時購買線上課程才能獲得考試資格，目的應該是為了讓考生可以接受完整的課程訓練。

形式：線上、開卷 (Open book)

題目： 60題選擇題 (單選)

時間： 120分鐘

及格分數： 80%

可考試次數： 2 次 (可補考1次，有效期限 2 年)

費用：795美元 (課程+考試)

就我個人的考試經驗，考題相當有難度 (不像範例試題直覺簡單)，英文試題雖然不長但也很折磨人，需要清楚了解AI相關名詞的定義，並且配合課程所學習的知識，才能做出正確的判斷，憑自己的力量考過會是很有成就感的，此課程對有意想在AI領域發展的夥伴們也會是一個好選擇。

我的證書 badge: https://www.credly.com/badges/dc8c713c-61ae-4a70-bb79-fd03f45becde

[新知] Google 發布最新的代理支付協議 (AP2)

昨天 Google 正式發布了最新的 Agent Payment Protocol (AP2) 的 AI 支付協議，擴展了原本 Google 讓不同的 Agent 之間可以協同合作的 A2A (Agent2Agent Protocol) 協定，進一步使 AI Agent 可以根據人類的需求，自動化地完成商品的搜尋、加入購物車，甚至直接支付款項完成交易。

當然，只要跟錢有關的事情，對使用者而言第一個想到的就是交易過程安不安全？會不會在未經使用者同意之下，AI Agent 就自己亂花錢，或是買了不想要的商品。而對商家來說，關注的則是跟資安有關的不可否認性 (Non-repudiation)，如何佐證這筆交易的確是經過真人的授權，而且是基於使用者的意圖來進行交易。

對此，Google 設計了授權書 (Mandates) 的機制來強化交易雙方信任，它是一種防篡改且可驗證的交易證明，可作為每一筆交易實際執行的證據，有興趣了解這項機制的夥伴，可以進一步參考以下 Google 網站的說明。

未來，隨著支持這項協議的商家愈來愈多，讓 AI 自動地幫您尋找並購買喜愛的球鞋、限量發售的公仔，或是直接以自然語言告知 AI 您預計休假的時間，想要去日本旅遊的景點，偏好的住宿飯店地點和價格，往返想乘坐的航班，以及總預算的金額，以上這些不用再一一自己去查找和下訂了，只要 AI Agent 找到符合您設定條件的組合，就可以同時完成以上商品或服務的預訂和付款。

參考資料：
Powering AI commerce with the new Agent Payments Protocol (AP2)